Beiträge von siegmarB

Danke fürs Mitdenken. Das Thema hat sich erledigt. Das Root-CA fehlte dem Client auch im Lan (der Kunde machte unterschiedliche Aussagen...). Dies wurde ihm nicht per GPO verteilt, weil der Client nicht sauber in der Domäne aufgenommen wurde.

Fehlermeldungen im Log sind:

Die Sitzungseinrichtung von Computer HORST konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten:
Zugriff verweigert

Die Sitzung konnte vom Computer "HORST" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "HORST$" entsprechend dem angegebenen Computer enthält.

USER ACTION
Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zurzeit nicht geachtet werden muss. Wenn dies ein schreibgeschützter Domänencontroller ist und "HORST$" das legitime Computerkonto für den Computer "HORST" ist, dann sollte "HORST" für diesen Standort für die Zwischenspeicherung gewählt werden, falls erforderlich, oder gewährleisten Sie die Konnektivität mit einem Domänencontroller, der die Anforderung bearbeiten kann (z.B. ein beschreibbarer Domänencontroller). Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden:

Wenn "HORST$" das legitime Computerkonto für den Computer "HORST" ist, sollte "HORST" erneut der Domäne hinzugefügt werden.

Wenn "HORST$" das legitime domänenübergreifende Vertrauenskonto ist, sollte die Vertrauensstellung neu erstellt werden.

Im Falle, dass "HORST$" kein legitimes Konto ist, sollte Folgendes für "HORST" veranlasst werden:

Wenn "HORST" ein Domänencontroller ist, sollte die hiermit verbundene Vertrauensstellung "HORST$" gelöscht werden.

Wenn "HORST" kein Domänencontroller ist, sollte es von der Domäne entfernt werden.

Der Client hat aus irgend einem Grund die CA nicht in dem Zertifikatsspeicher lokal. Ich forsche mal weiter.

Habe es gerade verifiziert. Das Zertifikat ist korrekt. Er vertraut der Zertifizierungsstelle nicht. Gibt es hier irgendwelche Voodoo von Microsoft, wie abhängig von der Verbindung eine Vertrauensstellung entsteht oder nicht?

Es wird ja nicht das Zertifikat angemeckert, sondern dass er der übergeordneten Zertifizierungsstelle nicht vertraut, die es ausgestellt hat.
Wlan kommt von der Firewall ja.

Hallo Norbert,

es ist kein Proxy dazwischen. Den Clients wird schon das richtige Zertifikat präsentiert. Jedoch vertraut der Client der Zertifizierungsstelle nicht, wenn wir über das WLAN ankommen.

Liebes Forum,

wir haben intern das Netzwerk segmentiert und Clients die über Wlan Outlook 2013 nutzen, erhalten jetzt die Fehlermeldungen:

Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft haben. Zeigen Sie das Zertifikat an, um zu bestimmen, ob Sie der Zertifizierungsstelle vertrauen möchten.
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Das Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Von Outlook kann keine Verbindung mit dem Proxyserver 'remote.kundenname.de' hergestellt werden.

remote.kundenname.de löst intern zur Exchange-IP auf - von extern zur öffentlichen IP.

WLAN-Clients 172.16.0.0/25
Windows-Server+Exchange 192.168.2.1

Dies funktioniert problemlos - nur bei den Wlan-Clients nicht mehr seit der Netzwerksegmentierung. Für die WLAN-Clients ist der Server 2012 nicht mehr DHCP-Server. Lediglich DNS-Server.
Was habe ich vergessen? Hat jemand eine Idee, wieso die Wlan-Clients über WLAN der Zertifizierungsstelle nicht vertrauen?!

Vielen herzlichen Dank fürs Mitdenken.

Stefan

Hallo Norbert,

ja den Link habe ich gelesen. Ich wollte nochmal Danke für deine Hilfe sagen. Seit dem Aktivieren der AntiSpam-Agents sind wir von 12-15 Spam-Mails pro Benutzer auf 0 seit Aktivierung.

Danke und ein schönes WE

Siegmar

Hi Norbert,

ich Vollnase habe natürlich vergessen Install-AntispamAgents.ps1 auszuführen und den Service neuzustarten - ich glaub ich werd noch blöd Wie peinlich.

Danke für den Hinweis. Die Empfängerprüfung war aktiviert - es wurden nur Mails an gültige Empfänger angenommen. Jetzt hab ich jedoch die zusätzlichen Agents:

Vorher:

[PS] C:\Windows\system32>Get-TransportAgent

Identity Enabled Priority
-------- ------- --------
Transport Rule Agent True 1
Malware Agent True 2
Text Messaging Routing Agent True 3
Text Messaging Delivery Agent True 4

Nachher:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-TransportAgent

Identity Enabled Priority
-------- ------- --------
Transport Rule Agent True 1
Malware Agent True 2
Text Messaging Routing Agent True 3
Text Messaging Delivery Agent True 4
Content Filter Agent True 5
Sender Id Agent False 6
Sender Filter Agent True 7
Recipient Filter Agent True 8
Protocol Analysis Agent True 9

Ja den Sender-ID-Agent habe ich erstmal deaktiviert.

Danke, dass Ihr im Forum immer wieder aufs neue nicht die Geduld mit Anfängern wie mir verliert.

Siegmar

Hallo Norbert,

hier die aus meiner Sicht relevanten Konfigurationen

CLRejectThreshold : 4
SCLRejectEnabled : True
SCLDeleteThreshold : 9
SCLDeleteEnabled : False
SCLQuarantineThreshold : 9
SCLQuarantineEnabled : False
BypassedSenders : {}
BypassedSenderDomains : {}
Enabled : True
ExternalMailEnabled : True
InternalMailEnabled : False

Ich war der Meinung, dass nicht sonderlich viel zusätzlich konfiguriert werden muss, da MS ja auf eine GUI verzichtet hat.

Danke für deine Mühe!

Siegmar

Hallo Forum,

ich verwende den integrierten Spamschutz in Exchange 2013. Leider kommen unfassbar viele Mails durch. Wir hatten zuvor eine Drittsoftwarelösung, die weitaus großzügiger abgelehnt/gefiltert hat.

Jetzt gibt es den Parameter SCLRejectThreshold
Ich spiele mich damit und habe ihn bereits auf den Wert von 4 herabgesetzt jedoch keine merkliche Besserung. Wie sind eure Erfahrungen - kann/soll ich noch weiter reduzieren?

Taugt die integrierte Lösung überhaupt irgendwas - nimmt das wer her?

Danke

Siegmar